Privacy Shield och Schrems II - Tredjelandsöverföringar till USA

4.7 Tredjelandsöverföringar till USA

4.7.2 Privacy Shield och Schrems II

I och med Safe Harbors utdömande av EU-domstolen påbörjade kommissionen nya förhandlingar med USA om ett nytt rättsligt ramverk för överföringar av personuppgifter. Förhandlingarna resulterade i ett nytt beslut av kommissionen på grundval av adekvat skyddsnivå. Beslutet offentliggjordes den 12 juli 2016, började gälla den 1 augusti samma år och gavs namnet Privacy Shield eller sköl- den för privatlivet.263F263F263F264 Privacy Shield beslutet innebar bland annat ett hårdare

259_{COM (2013) 847 final, Meddelande från kommissionen till Europaparlamentet och Rådet, om}

hur principerna om integritetsskydd (Safe Harbor) fungerar när de gäller EU:s medborgare som är etablerade i EU, 27 november 2013, s. 2.

260_{Ibid s. 16 ff.}

261_{Mål C- 362/14, Maximilian Schrems mot Data Protection Commissioner, dom av den 6}

oktober 2015, p. 27 – 29.

262_{Mål C-362/14, p. 84 – p. 87.}

263_{Statement of the Article 29 Working Party, 16 oktober 2015.}

264_{Kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europapar-}

lamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom sköl- den för skydd av privatlivet i EU och Förenta staterna. (cit: Privacy Shield).

krav gällande behandlingar av uppgifter som härrör från EU, men även be- gränsningar av amerikanska myndigheters tillgång till datan. Överenskommel- sen byggde likt dess föregångare på självcertifiering där företag kunde anmäla att de uppfyllde kraven i regelverket till det amerikanska handelsdepartementet och frivilligt tillträda avtalet.264F264F264F265 Överenskommelsen byggde på ett antal grund-

läggande principer;

• Principen om påpekande som innebar ett krav att lämna ut vissa uppgifter till den registrerade och även hur kontakt ska så till vid klagomål eller frågor.265F265F265F266

• Principen om valmöjlighet där den registrerade på ett tydligt sätt ha möjlighet att välja huruvida personuppgifterna får överföras till tredje part eller användas för andra ändamål än det ursprungliga.266F266F266F267

• Principen om säkerhet som innebär att företaget som behandlar personuppgifterna måste beakta säkerhetsriskerna med behandlingen genom att vidta passande säkerhetsåtgärder.267F267F267F268

• Principen om ansvar för vidareöverföring handlar om när företaget överför personuppgifter till tredje part. En sådan överföring får endast ske för begränsade och specifika ändamål samtidigt som samma skyddsnivå som Privacy Shield garanteras.268F268F268F269

• Principen om tillgång, där den registrerade ska ges rätt att veta hur, vilka och ändamålet med personuppgifterna som behandlas.269F269F269F270

• Principen om dataintegritet och ändamålsbegränsnings vilket inne- bär att mängden uppgifter måste begränsas till vad som är relevant och syftet med ändamålet bakom behandlingen. Lagrade uppgifter får endast sparas så länge de fortfarande uppfyller de ursprungliga ändamålen.270F270F270F271

• Principen om rättsmedel, genomförande och ansvar som handlar om att företagen måste säkerställa att principerna följs genom att år- liga certifiera sin anslutning och säkerställa att principerna följs men även att låta oberoende instanser hantera klagomål som inkommit och erbjuda gottgörelse i de fall bolaget har brutit mot principerna.271F271F271F272 265_{Frydinger, David, m.fl. 2018 s. 237 ff.} 266_{Privacy Shield. Skäl 20.} 267_{Privacy Shield. Skäl 2.} 268_{Privacy Shield. Skäl 24.} 269_{Privacy Shield. Skäl 27 – 28.} 270_{Privacy Shield. Skäl 25.} 271_{Privacy Shield. Skäl 21 – 23.} 272_{Privacy Shield. Skäl 26.}

Förutom ovan nämnda principer finns sexton kompletterande tilläggsprinci- per.272F272F272F273 Trots principerna som genomsyrar Privacy Shield har beslutet fått mot-

stå kritik från olika håll. Bland annat från Europaparlamentet som på flera punkter uttrycker oro huruvida regelverket uppfyller förordningens krav273F273F273F274,

men även från andra aktörer som exempelvis anser att det föreligger säkerhets- hål som gör det möjligt för amerikanska underrättelsetjänsten att övervaka även EU-medborgare.274F274F274F275

Maximilian Schrems ansåg inte heller att Privacy Shield regelverket upp- nådde den adekvata skyddsnivå som erfordrades, och formulerade ett nytt kla- gomål där han begärde att tillsynsmyndigheten genast skulle förbjuda överfö- ringen av hans personuppgifter från Facebook Irland till Facebook Inc.275F275F275F276

Han anförde att hans personuppgifter kunde fortsatt användas av amerikanska myndigheter då landet infört omfattande övervakningslagstiftning, vilket var oförenligt med artiklarna 7, 8 samt 47 i EU-stadgan trots att standardavtalsklausuler förelåg.276F276F276F277 EU-domstolen avgjorde målet med ett flertal viktiga kon-

stateranden:

Domstolen fastslog till en början att en tredjelandsöverföring av personuppgifter utgör en behandling enligt förordningens terminologi.277F277F277F278

Domstolen fastslog att vid frågan om lägsta skyddsnivå vid överföring av personuppgifter med stöd av standardavtalsklausuler enligt artikel 46 ska tolkas såsom att det tredje landet måste uppvisa en väsentligen likvärdig nivå på skyddet av grundläggande fri- och rättigheter som förordningen ger.278F278F278F279

Domstolen fastslår även att dessa standardavtalsklausuler inte får användas slentrianmässigt. Domstolen ansåg även att en nationell tillsynsmyndighet är skyldiga att både avbryta och förbjuda tredjelandsöverföringar till ett tredje land när de anser att förordningens grundläggande skydd inte längre kan säkerstäl- las.279F279F279F280

Domstolen gör gällande att standardavtalsklausuler inte automatiskt är för- enliga med artikel 7,8 och 47 i EU-stadgan, bland annat när lagstiftning i det tredje landet tillåter att myndigheter gör intrång gällande de registrerades rättig- heter som hänförs till personuppgifterna, vilket innebär att USA:s nuvarande

273_{Kommissionens genomförandebeslut 2016/1250, Privacy Shield. Bilaga II och III.}

274_{Se vidare Europaparlamentets resolution av den 5 juli 2018 om huruvida ett adekvat skydd}

säkerställs genom skölden för skydd av privatlivet i EU och USA.

275 _Eff, _The _Privacy _Shield _is _Riddled _with _Surveillance _Holes,

https://www.eff.org/deeplinks/2016/03/privacy-shield-riddled-surveillance-holes, hämtad 2021- 03-03.

276_{Mål C-311/18 Data Protection Commissioner mot Maximillian Schrems och Facebook Ire-}

land, dom av den 16 juli 2020 ECLI:EU:C:2020:559 (Schrems II).

277_{Schrems II, p. 55.}

278_{Schrems II, p. 83 – 84.}

279_{Schrems II, p. 94.}

övervakningslagstiftning inte är förenlig med artiklarna då utlämnandet av personuppgifter till tredje part utgjorde ett ingrepp i den grundläggande rättighet- erna som förordningen uppställer.280F280F280F281 Domstolen angav att för nyttjandet av

standardavtalsklausuler eller bindande företagsbestämmelser kan det vara nöd- vändigt att komplettera med ytterligare säkerhetsåtgärder.

Domstolen uttalade sig explicit om den övervakningslagstiftning som hade antagits, bland annat FISA 702 och EO 12333. Domstolen ansåg att rättsakter- na gick över det som var nödvändigt gällande behandlingen av personuppgifter och därav inte erbjöd ett skydd som var väsentligen likvärdigt med det unions- rättssliga skyddet. 281F281F281F282

Avslutningsvis konstaterar domstolen att kommissionen genom Privacy Shield beslutet åsidosatt förordningens krav i 45.1 och i artiklarna 7, 8 och 47 i EU-stadgan vid beslutet. Domstolen slår därvid fast att USA trots Privacy Shield-ramverket inte kan säkerställa en adekvat skyddsnivå och ogiltigförklarar därav hela det tidigare beslutet.282F282F282F283

In document Digital distansundervisning och GDPR: Särskilt om Zoom vid Sveriges universitet och högskolor efter Schrems II-målet (Page 67-70)